Microsoft ha advertido que Nobelium, el grupo de ciberdelincuentes ruso responsable del devastador ciberataque contra la cadena de suministro de Solarwinds de 2020, tiene una nueva técnica posterior al compromiso que le permite eludir la autenticación y mantener un acceso persistente a las redes corporativas comprometidas.
Gracias a esta nueva táctica, una capacidad altamente sofisticada que los investigadores de Microsoft han bautizado como "MagicWeb", los actores de amenazas detrás de Nobelium pueden fortalecer su control sobre las redes objetivo, incluso después de que los defensores traten de expulsarlos. No obstante, a diferencia de las anteriores ofensivas del grupo, también rastreado como APT29, Cozy Bear y The Dukes, los hackers no están recurriendo a ciberataques a la cadena de suministro, sino que están explotando las credenciales de administrador para implementar MagicWeb.
"Nobelium se mantiene muy activo, ejecutando múltiples campañas en paralelo dirigidas a organizaciones gubernamentales, organizaciones no gubernamentales (ONG), organizaciones intergubernamentales (IGO) y grupos de expertos en los EE. UU., Europa y Asia Central", advierte Microsoft.
MagicWeb comparte similitudes con la herramienta FoggyWeb y va más allá
Como indica la compañía, Nobelium ya había utilizado el abuso de identidades y el acceso con credenciales como método para mantener la persistencia, y una capacidad especializada como MagicWeb tampoco es nueva para el grupo. En este sentido, Microsoft recuerda que en septiembre de 2021 descubrió una capacidad posterior a la explotación denominada "FoggyWeb" que comparte métodos e intenciones similares a MagicWeb.
"FoggyWeb fue capaz de filtrar la base de datos de configuración de los servidores de AD FS (Active Directory Federated Services) comprometidos, descifrar los certificados de firma de tokens y los certificados de descifrado de tokens, y descargar y ejecutar componentes de malware adicionales. MagicWeb va más allá de las capacidades de recopilación de FoggyWeb al facilitar el acceso encubierto directamente".
¿Qué es MagicWeb?
Según indica Microsoft, MagicWeb es una DLL maliciosa que permite a los atacantes manipular los tokens generados por el servidor local AD FS así como los certificados de autenticación de usuario que se utilizan para la autenticación, no los certificados de firma utilizados en ataques como Golden SAML.
En este sentido, la compañía explica SAML es un lenguaje de marcado de aserción de seguridad, que usa certificados x509 para establecer relaciones de confianza entre proveedores de identidad y servicios y para firmar y descifrar tokens.
"Nobelium pudo implementar MagicWeb obteniendo primero acceso a credenciales altamente privilegiadas y moviéndose lateralmente para obtener privilegios administrativos en un sistema AD FS. Esto no es un ataque a la cadena de suministro. El atacante tenía acceso de administrador al sistema AD FS y reemplazó una DLL legítima con su propia DLL maliciosa, lo que provocó que AD FS cargara malware en lugar del binario legítimo", precisa el gigante tecnológico.
¿Cómo logra MagicWeb eludir la autenticación?
El informe de Microsoft también ofrece una explicación detallada a esta pregunta en la que lo primero que hay que entender es que la autenticación basada en notificaciones de AD FS puede utilizar, en lugar del inicio de sesión único para una organización, "reclamaciones" (tokens) para permitir que las partes externas (clientes, socios y proveedores) se autentiquen con el inicio de sesión único.
"MagicWeb se inyecta en el proceso de reclamos para realizar acciones maliciosas fuera de las funciones normales de un servidor AD FS", subraya Microsoft.
MagicWeb también abusa de los certificados SAML x509 que "contienen valores de uso de clave mejorada (EKU) que especifican para qué aplicaciones se debe usar el certificado". Los EKU cuentan con valores de identificador de objetos (OID) para admitir, por ejemplo, el inicio de sesión con tarjeta inteligente y las organizaciones también pueden crear OID personalizados para limitar el uso de certificados.
"La omisión de autenticación de MagicWeb proviene de pasar un OID de uso de clave mejorado no estándar que está codificado en el malware MagicWeb durante una solicitud de autenticación para un nombre principal de usuario específico", explica Microsoft, y apunta:
"Cuando se encuentra este valor único de OID codificado, MagicWeb hará que la solicitud de autenticación omita todos los procesos estándar de AD FS (incluidas las comprobaciones de MFA) y valide las afirmaciones del usuario. MagicWeb está manipulando los certificados de autenticación de usuario utilizados en los inicios de sesión SAML, no los certificados de firma para un reclamo SAML utilizado en ataques como Golden SAML".
Los equipos de seguridad de Microsoft han detectado MagicWeb en los sistemas de un cliente y consideran que esta DLL maliciosa se utiliza en ataques "altamente dirigidos". Para protegerse ante esta ciberamenaza, recomienda mantener aislada la infraestructura de AD FS para que solo puedan acceder las cuentas de administrador dedicadas y la migración a una solución de identidad basada en la nube como Azure Active Directory.